Ha compiuto poco più di un anno HP Wolf Security. E’ il progetto per la sicurezza degli endpoint HP, basato su un modello di protezione multilivello, dall’hardware al sistema operativo, pensato per i pc, i dispositivi e le stampanti. Concretamente si tratta di un portafoglio che comprende sicurezza zero trust basata anche sull’integrazione hardware/software – perché i dispositivi HP siano sicuri by design – su soluzioni software per la sicurezza degli endpoint e sui servizi.
Tra le iniziative messe in campo per migliorare la conoscenza e l’approccio ai tema della cybersecurity rientra anche il progetto innovativo di ricerca da cui nasce il report The Evolution of Cybercrime: Why the Dark Web is Supercharging the Threat Landscape and How to Fight Back. Esplora l’evoluzione del cybercrime, gli impatti sulle aziende e come è possibile indirizzare gli sforzi per proteggersi
L’indagine è interessante perché nasce direttamente dallo studio del Dark Web – uno studio condotto per tre mesi, per capire il modus operandi dei criminali informatici, con i dati validati da Forensic Pathway – ed analizza più di 35 milioni di marketplace.
Lo ripercorriamo sulla scorta dei consigli pratici di un gruppo di esperti di criminalità informatica che ne inquadrano l’evoluzione ed offrono alcune previsioni “documentate” sul futuro. Con Joanna Burkey, Ciso di HP ne parlano: Alex Holland, senior Malware Analyst HP, nonché autore del report; Dr. Mike McGuire, autore e senior lecturer in criminology, presso la University of Surrey e Michael Calce, ex black hat Mafiaboy ed oggi Ceo di Decentraweb.
Marketplace nel Dark Web, economia florida
“Siamo di fronte ad un progressivo innalzamento della sofisticazione degli attacchi che tra il 2008 ed il 2021 è persino prudenziale affermare che siano cresciuti di oltre il 200% – esordisce Alex Holland – ma soprattutto il cybercrime fa “sistema” ed i criminali collaborano proprio sul Dark Web per ottimizzare gli sforzi. Per questo si può parlare di una cybercrime economy articolata e basata, come nelle economie ‘legittime’, anche su reputation e fiducia, che è possibile ereditare dalle attività precedenti, considerato come sia evidentemente rapido e breve il ciclo di vita dei marketplace”, all’interno di un ambiente criminoso.
Il report evidenzia come le dinamiche dei marketplace di vendita al dettaglio nella vita reale siano riflesse anche in questi ambienti. Per esempio, proprio per quanto riguarda fiducia e reputazione, ecco che il 77% dei marketplace cybercrime analizzati richiede una sorta di licenza di vendita (dal prezzo anche di 3mila dollari), mentre oltre l’80% prevede depositi di denaro a garanzia, e più di nove su dieci dispongono di un servizio di risoluzione delle controversie di terze parti. E’ possibile fornire punteggi di feedback sui venditori e, poiché la durata media della vita di un sito Web Tor nella Dark Net è di appena 55 giorni, ecco la possibilità di trasferire la “reputation” tra i siti Web.
“In uno scenario – si innesta Calce – che ha visto allargare le sfide anche ai sistemi IoT, a quelli per i pagamenti distribuiti, ed alle criptovalute“, anche l’estensione dimensionale e il proliferare delle piattaforme (non solo social), “hanno favorito la facilità dei collegamenti tra attaccanti e vittime contribuendo alla riuscita degli attacchi ed alla loro ottimizzazione dal punto di vista economico” – puntualizza McGuire.
Così come si può parlare di un’evoluzione e professionalizzazione dei ruoli per cui, mentre cresce il recruiting di “manovalanza” – si tratta di hacker amatoriali, anche senza competenze di coding, che lavorano con i gruppi di criminali informatici per incrementare i profitti – aumentano anche i rischi che gli avversari riescano ad avvantaggiarsi delle tecnologie emergenti, proprio come chi organizza la difesa.
Holland spiega infatti come da una parte “la disponibilità di tool a sottoscrizione, come commodity, ha democraticizzato l’accesso agli attacchi” – per cui è bassissimo oggi il valore delle credenziali di accesso legittime di un account, ma anche il prezzo di una botnet per portare un attacco DDoS – ed allo stesso tempo “si assiste ad una vera e propria verticalizzazione gerarchica del cybercrime, per agevolare il lavoro di squadra”. “In un ecosistema, quello del Dark Web e delle Dark Net che – secondo McGuire – ha una ‘profondità’ difficile da immaginare, ed allo stesso tempo prepsenta tratti per cui spesso il confine tra legalità e illegalità sfuma per cui strumenti intrinsecamente validi possono essere sfruttati in modo scorretto”.
I dati del report: oltre tre quarti degli “annunci” di malware e il 91% degli exploit – è il codice che consente agli aggressori di controllare i sistemi sfruttando i bug del software – sono venduti al dettaglio a meno dieci dollari. Credenziali Remote Desktop Protocol compromesse costano meno di cinque dollari. E prolifera l’offerta di prodotti in bundle, con kit di malware plug-and-play, malware-as-a-service, tutorial e servizi di tutoraggio.
Di fatto, appena il 2-3% degli autori delle minacce oggi è rappresentato da programmatori avanzati, perché i servizi disponibili riducono la necessità di competenze ed esperienza tecniche per condurre anche attacchi complessi e mirati e gli hacker alle prime armi operano con le grandi organizzazioni di cybercriminali professionisti, che conducono attacchi ransomware dannosi in grado di paralizzare il mondo online.
Vengono sfruttate lacune software, le Common Software Vulnerabilities, che permettono di assumere il controllo dei sistemi prendendo di mira bug e vulnerabilità noti degli ambienti e delle app più popolari: Windows, Microsoft Office, i sistemi di gestione dei contenuti Web e i Web server e di posta. In questi casi “lievita” il prezzo dei kit che sfruttano le vulnerabilità (tra i mille e i 4.000 dollari), mentre le vulnerabilità zero day, quelle non ancora note e che lo divengono al momento del primo attacco, costano anche decine di migliaia di dollari nel Dark Web.
Un pensiero che riconduce a un tema chiave: quello della disponibilità degli enabler digitali sia a chi attacca come a chi difende. Tanto che Calce vede proprio “nell’AI e nell’automatizzazione (anche degli attacchi) un mix tecnologico del tutto favorevole al cybercrime del futuro, per esempio, pensando alle applicazioni legate al social engineering”.
Per una strategia di difesa
Il confronto si conclude con i consigli e le previsioni (non rosee). Holland: “Serve, per una buona strategia di difesa – oltre alle competenze – mettere in campo in concreto le best practice, ma anche condividere in modo veloce le conoscenze. Ed in questo caso la ‘supply chain’ della collaborazione sarà tanto più efficace quanto più rapida e ‘verticale’ perché spesso le strategie di attacco si adeguano alle criticità dei diversi settori“.
Significa adottare l’autenticazione a più fattori, ottimizzare la gestione delle patch: i criminali informatici studiano le patch al momento del rilascio e decodificano la vulnerabilità oggetto di patch per agire rapidamente con gli exploit prima che le organizzazioni le abbiano applicate. Serve ridurre le superfici di attacco dai principali vettori (tra cui email, Web e download) e dare la priorità all’hardware autorigenerante per aumentare la resilienza.
Bisogna lavorare in partnership per il controllo dei sistemi di sicurezza dei fornitori, quindi orientarsi alla revisione dei processi. E ancora, condividere informazioni e intelligence sulle minacce per essere proattivi nella scansioni guardando avanti e monitorando le discussioni aperte sui forum sotterranei. “Le aziende – avvertono Calce e McGuire – dovrebbero prepararsi per attacchi distruttivi sui dati, campagne informatiche sempre più mirate e osservare a fondo come i criminali informatici utilizzano tecnologie emergenti come l’intelligenza artificiale per sfidare l’integrità dei dati delle organizzazioni”.
© RIPRODUZIONE RISERVATA
